liquidbase
Goto Top

Routingprobleme zu einer bestimmten URL

Hallo alle miteinander face-smile

Ich wende mich heute an euch mit einem etwas merkwürdigen Problem, wo ich sehr wahrscheinlich einen Denkfehler habe oder das Problem übersehe.

Szenario ist folgendes:
Es gibt Domain1 mit einer Subdomain hinter der ein E-Mail-Frontend steht und über die auch entsprechende SMTP und IMAP/POP3-Ports für den E-Mailversand bereitgestellt. Weiterhin habe ich ein Netzwerk welches über das entsprechende E-Mailfunktionalität genutzt werden soll.
Soviel zu den Rahmenbedingungen, kommen wir nun zu dem was für mich unverständlich ist.

Der Versand und Empfang von E-Mails gelang bis vor einer Woche über die entsprechend bekannten Tools oder dem Webfrontend. Dann vor etwa einer Woche, läßt sich das Frontend nicht mehr aufrufen und die E-Mailer geben eine entsprechende Fehlermeldung das sie eine Verbindung bekommen. Browser sagt z. B. ERR_CONNECTION_TIMED_OUT. Anpingen konnte man die URL allerdings (durch IP oder Namen, ging beides). Also Provider der Cloudlösung angerufen, der checkt die Instanz und meldet alles in Ordnung.
Ich habe mich dann erstmal damit beholfen das ich auf dem Server der hier für das interne Netzwerk alle Mails aller Postfächer abholt per hosts-Datei (Windows Server 2012R2) den Namen und die IP des Servers kennt. Danach ging es erstmal wieder. Wieso auch immer, den normal bedeutet ein Time Out nur das die Antwort nicht rechtzeitig eingetroffen ist oder der Server zu lange braucht bis es er eine Antwort sendet.

Logischerweise habe ich weiterhin nach der Fehlerursache gesucht und bisher nicht fündig geworden. Denn wenn ich aus einem anderen Netzwerk die gleiche URL aufrufe, dann erreiche ich das Webfrontend ohne das es ein Problem gibt, auch E-Mailprogramme funktionieren zuverlässig.

So was habe ich bisher alles gemacht?
DNS zurückgesetzt => Check
Neustart der Cloudinstanz => Check
Weg der Pakete per tracert => Check
Portscan der Cloudinstanz => Check
FW im Netzwerk geprüft => Check
Neustart Netzwerk => Check

So langsam aber sicher bin ich am Ende meines Lateins. Es ist nur diese eine URL welche nicht funktioniert, alles andere geht ohne das es auch nur ein Problem verursacht.
Vielleicht kann jemand von euch den zündenden Gedanken beisteuern.

Viele Grüße und schon mal Dank fürs lesen
Chris

Content-Key: 542931

Url: https://administrator.de/contentid/542931

Printed on: June 13, 2024 at 13:06 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Feb 04, 2020 at 17:48:16 (UTC)
Goto Top
Moin,

hast Du einfach mal ein telnet auf den Port 25 oder Port 80 des Servers gemacht um zu schauen, ob Dur eine verbindugn bekommst?

Hat jemand vielleicht eine Firewall-regel aktiviert?

lks
Member: liquidbase
liquidbase Feb 04, 2020 at 18:16:44 (UTC)
Goto Top
In beiden Fällen wird der Verbindungsaufbau abgelehnt, folgende Fehlermeldung erscheint (Kombiniere beide da bis auf Port identisch):

.Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 25/80: Verbindungsfehler

An der Firewall wurde nichts weiter verändert. Da ist die Config noch so wie zu dem Zeitpunkt wo es einwandfrei funktioniert hatte, jedenfalls was die Filter betrifft. Einzige was hier in der letzten Zeit konfiguriert wurde waren statische DHCP-Bindings, die ich aber wieder entfernt hatte um hier einen Fehler auszuschließen. Hatte sich aber nichts daran geändert.

Für mich sieht es aktuell so aus als würden alle Pakete die nicht ICMP sind von der Firewall beim ankommen gedroppt, wodurch dann ein Time Out entsteht, ist aber nur eine Vermutung meinerseits.
Member: Lochkartenstanzer
Lochkartenstanzer Feb 04, 2020 at 18:30:31 (UTC)
Goto Top
Zitat von @liquidbase:

Für mich sieht es aktuell so aus als würden alle Pakete die nicht ICMP sind von der Firewall beim ankommen gedroppt, wodurch dann ein Time Out entsteht, ist aber nur eine Vermutung meinerseits.


Also doch Firewall-regeln geändert. Wirf doch einfach mal Wireshark an und schau was durchkommt. ggf. hilft auch ein nmap.

Un probier mal von anderen anschlüssen, z.B. smartphone oder oder einem "Kumpel" ob da dir verbindung geht.

Und traceroute ein tcp-traceroute port 25 oder 80 (z.B. traceroute -T -p 80 unter linux) hilft natürlich ggf auch, den "Bösewicht" zu finden.

lks
Member: sabines
sabines Feb 05, 2020 at 06:03:40 (UTC)
Goto Top
Moin,

kannst Du nicht die Logs der Firewall auswerten, wenn denn der Traffic überhaupt darüber geht, ggfs. mal die FW vorher neu starten.
Lese ich das richtig, das ein Eintrag in der Hosts Datei das Problem gelöst hat? Dann hast Du ggfs. ein DNS Problem.

Gruss
Member: liquidbase
liquidbase Feb 05, 2020 updated at 06:14:59 (UTC)
Goto Top
Ja und da geht die erste Verwirrung los. Hier das Ergebnis der beiden Aufrufe:

Port 80
traceroute to subdomain.netcup-mail.de (46.38.226.23), 30 hops max, 60 byte packets
 1  192.168.64.1 (192.168.64.1)  0.261 ms  0.265 ms  0.393 ms
 2  002-228-024-217.ip-addr.vsenet.de (217.24.228.2)  1.889 ms  1.976 ms  1.974 ms
 3  097-237-024-217.ip-addr.vsenet.de (217.24.237.97)  1.859 ms  1.938 ms  1.937 ms
 4  049-130-088-212.ip-addr.vsenet.de (212.88.130.49)  7.212 ms  1.813 ms  7.200 ms
 5  et-5-0-2.0.vs-dis-r2.6898.ip.vsenet.de (217.24.235.174)  2.237 ms et-2-0-5.0.vs-core-r1.6898.ip.vsenet.de (217.24.235.165)  2.234 ms  2.229 ms
 6  et-2-0-5.0.vs-core-r2.6898.ip.vsenet.de (217.24.235.169)  2.412 ms et-2-0-2.0.vs-core-r2.6898.ip.vsenet.de (217.24.235.162)  2.205 ms  2.187 ms
 7  ae3-1337.bbr02.anx25.fra.de.anexia-it.net (80.81.195.166)  7.844 ms  7.826 ms  7.916 ms
 8  ae1-0.bbr01.anx84.nue.de.anexia-it.net (144.208.208.140)  8.852 ms  9.042 ms  8.829 ms
 9  netcup-gw.bbr01.anx84.nue.de.anexia-it.net (144.208.211.31)  8.369 ms  8.354 ms  8.393 ms
10  mxe217.netcup.net (46.38.226.23)  8.425 ms  8.514 ms  8.409 ms

Port 25
traceroute to subdomain.netcup-mail.de (46.38.226.23), 30 hops max, 60 byte packets
 1  192.168.64.1 (192.168.64.1)  0.308 ms  0.301 ms  0.378 ms
 2  002-228-024-217.ip-addr.vsenet.de (217.24.228.2)  4.711 ms  4.706 ms  4.937 ms
 3  097-237-024-217.ip-addr.vsenet.de (217.24.237.97)  2.079 ms  2.072 ms  2.160 ms
 4  049-130-088-212.ip-addr.vsenet.de (212.88.130.49)  1.656 ms  1.687 ms  1.630 ms
 5  et-2-0-5.0.vs-core-r1.6898.ip.vsenet.de (217.24.235.165)  2.266 ms  2.260 ms et-5-0-2.0.vs-dis-r2.6898.ip.vsenet.de (217.24.235.174)  3.640 ms
 6  et-2-0-2.0.vs-core-r2.6898.ip.vsenet.de (217.24.235.162)  3.579 ms et-2-0-5.0.vs-core-r2.6898.ip.vsenet.de (217.24.235.169)  1.954 ms et-2-0-2.0.vs-core-r2.6898.ip.vsenet.de (217.24.235.162)  1.937 ms
 7  ae3-1337.bbr02.anx25.fra.de.anexia-it.net (80.81.195.166)  5.006 ms  4.991 ms  4.985 ms
 8  ae1-0.bbr01.anx84.nue.de.anexia-it.net (144.208.208.140)  8.212 ms  8.204 ms  8.391 ms
 9  netcup-gw.bbr01.anx84.nue.de.anexia-it.net (144.208.211.31)  7.826 ms  7.813 ms  7.807 ms
10  mxe217.netcup.net (46.38.226.23)  8.887 ms  8.874 ms  8.861 ms

Beide Aufrufe wurden von innerhalb des Netzwerkes gemacht. Nutze ich jetzt dahingehend einen Browser (Chrome, Firefox, Opera, Edge) bekomme ich einen Timeout, ebenso die Mailprogramme. Was mich bei den Ausgaben allerdings ein wenig stutzig macht, ist das bei Hop 5 und 6 jeweils zwei Knoten angegeben sind und hier die Pakete wohl irgendwie hin und her geschickt werden bis es bei Hop 7 weiter geht.
Von ausserhalb des Netzwerkes läuft alles wie es soll.
Member: sabines
sabines Feb 05, 2020 at 06:32:46 (UTC)
Goto Top
Zitat von @liquidbase:

Beide Aufrufe wurden von innerhalb des Netzwerkes gemacht. Nutze ich jetzt dahingehend einen Browser (Chrome, Firefox, Opera, Edge) bekomme ich einen Timeout, ebenso die Mailprogramme. Was mich bei den Ausgaben allerdings ein wenig stutzig macht, ist das bei Hop 5 und 6 jeweils zwei Knoten angegeben sind und hier die Pakete wohl irgendwie hin und her geschickt werden bis es bei Hop 7 weiter geht.
Von ausserhalb des Netzwerkes läuft alles wie es soll.

Was habt Ihr für eine FW?
Setzt Ihr einen Sensor bspw Firepower o.ä. ein?
Member: liquidbase
liquidbase Feb 05, 2020 updated at 07:55:43 (UTC)
Goto Top
Aktuell ist es eine Juniper SRX240. An sich ist das Gerät bei Juniper als EOL geflaggt aber hier warte ich auf das Neugerät aus der 3er Serie.
Die SRX240 übernimmt nicht nur die VPN-Einwahl / -Tunnelbereitstellung sondern auch die Firewall. Einzige was sich hier wie gesagt geändert hat im letzten halben Jahr sind die statischen DHCP-Bindings (alte Geräte raus, neue Geräte rein). An den Filtereinstellungen des Firewall-Bereiches wurde nichts weiter geändert. Und bis vor ~1.5 Wochen hat alles mit den Einstellungen funktioniert.

Und sorry grad erst den anderen Beitrag von dir gesehen.
DNS-Probleme sind es nicht da ich auch jederzeit den Namen korrekt auflösen kann wenn ich den Host anpinge oder ein traceroute drüberschicke.
Member: Lochkartenstanzer
Lochkartenstanzer Feb 05, 2020 at 07:57:57 (UTC)
Goto Top
Zitat von @liquidbase:

Nutze ich jetzt dahingehend einen Browser (Chrome, Firefox, Opera, Edge) bekomme ich einen Timeout, ebenso die Mailprogramme.
...
Von ausserhalb des Netzwerkes läuft alles wie es soll.

Habt ihr einen Proxy zwischendrin?

oder eine firewall?

Schau mal in desren ligs oder schalte das logging ein.

lks
Member: liquidbase
liquidbase Feb 05, 2020 at 08:07:49 (UTC)
Goto Top
Siehe einen Beitrag vor dir.

Logs der FW gehe ich gerade durch, habe aber noch nichts auffälliges gefunden. Proxy ist keiner zwischengeschaltet.
Member: liquidbase
liquidbase Feb 05, 2020 at 14:57:17 (UTC)
Goto Top
In den Logfiles habe ich nur ab und zu mal einen Drop an Paketen zu der Domain (Anzahl im Rahmen des normalen was eher an fehlerhaften Paketen liegen dürfte) aber nichts was erklären würde, dass das Frontend permanent nicht erreicht wird.

Interessante daran ist das es plötzlich wieder zu gehen scheint. Aktuell jedenfalls kann man von einem beliebigen Rechner aus das Frontend wieder aufrufen.
Wissen warum das passiert will ich aber trotzdem, alleine um den Fehler in Zukunft vermeiden zu können.
Member: liquidbase
liquidbase Feb 11, 2020 at 17:56:13 (UTC)
Goto Top
Aktuell scheine ich das Problem gefunden zu haben.
Im Netzwerk gab es einen Server welcher versucht hat permanent eine Verbindung zu dem Mailserver aufzumachen. Da es sich hier um ein Monitoring-System mit einem automatisierten Nachrichtenversand handelt hat dieser versucht permanent Mails über die Zustände der überwachten Systeme zu verschicken. Hier gab es ein Konfigurationsproblem für den Mailer. Aktuell kontrolliere ich noch ob es sich durch die Konfigurationsänderung wieder bessert.
Im Endeffekt hat der Mailversand des Monitorings versucht mehrmals pro Sekunde versucht die Mails zu verschicken, was dann sehr wahrscheinlich die Sicherheitsmechanismen des Anbieters ausgelöst hat.